Назад | Перейти на главную страницу

Попытки анонимного входа с IP-адресов по всей Азии, как мне помешать им сделать это?

У нас была успешная попытка взлома из России, и один из наших серверов использовался в качестве плацдарма для дальнейших атак, на самом деле каким-то образом им удалось получить доступ к учетной записи Windows под названием «сервисы». Я отключил этот сервер, так как это был наш SMTP-сервер и он больше не нужен (теперь установлена ​​сторонняя система).

Теперь некоторые из наших других серверов имеют эти попытки АНОНИМНОГО ВХОДА в средство просмотра событий с IP-адресами из Китая, Румынии, Италии (я думаю, там тоже есть какая-то Европа) ... Я не знаю, что хотят эти люди, но они просто продолжают атаковать сервер. Как я могу предотвратить это?

Я не хочу, чтобы наши серверы снова были скомпрометированы, в прошлый раз, когда наш хост отключил весь наш аппаратный узел из сети, потому что он атаковал другие системы, в результате чего наши службы перестали работать, что действительно плохо.

Как я могу предотвратить попытки этих странных IP-адресов получить доступ к моим серверам?

Это «контейнеры» (виртуальные машины) Windows Server 2003 R2 Enterprise, работающие на узле Parallels Virtuozzo HW, если это имеет значение. Я могу настроить каждую машину индивидуально, как если бы это был собственный сервер ...

ОБНОВЛЕНИЕ: все еще происходят новые попытки входа в систему, теперь они возвращаются в Украину ... WTF ... вот событие:

Successful Network Logon:
    User Name:  
    Domain:     
    Logon ID:       (0x0,0xB4FEB30C)
    Logon Type: 3
    Logon Process:  NtLmSsp 
    Authentication Package: NTLM
    Workstation Name:   REANIMAT-328817
    Logon GUID: -
    Caller User Name:   -
    Caller Domain:  -
    Caller Logon ID:    -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: 94.179.189.117
    Source Port:    0


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Вот еще один из Франции, который я тоже нашел:

Event Type: Success Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   540
Date:       1/20/2011
Time:       11:09:50 AM
User:       NT AUTHORITY\ANONYMOUS LOGON
Computer:   QA
Description:
Successful Network Logon:
    User Name:  
    Domain:     
    Logon ID:       (0x0,0xB35D8539)
    Logon Type: 3
    Logon Process:  NtLmSsp 
    Authentication Package: NTLM
    Workstation Name:   COMPUTER
    Logon GUID: -
    Caller User Name:   -
    Caller Domain:  -
    Caller Logon ID:    -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: 82.238.39.154
    Source Port:    0


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Вы должны действительно заблокировать их на маршрутизаторе / брандмауэре, если вам не нужен доступ к этим серверам из любого места - тогда они должны принимать соединения только из вашего диапазона IP-адресов. Свяжитесь со своим хостинг-провайдером и как можно скорее установите эти правила.

То, что вы видите, - это атака грубой силы для получения доступа к системе с использованием терминальных служб (RDP). На ПК с Windows: перейдите в начало, введите run, затем введите mstsc и нажмите Enter. Введите адрес вашего сервера. При запросе имени пользователя и пароля просто щелкните диалоговое окно закрытия. Затем посмотрите журнал безопасности вашего сервера. Вы увидите то же событие, которое вы видите, исходящее со своего IP-адреса. Вы все равно захотите заблокировать этих панков брандмауэром. Каждый раз, когда кто-то пытается запустить сеанс RDP, Windows запускает winlogon.exe и csrss.exe (смотрите taskmgr). Если они пытаются войти в систему несколько раз в секунду, ваша система замедлится.

Предупреждение: это успешные попытки, то есть они вошли на ваш сервер. На этом этапе я бы отключил сервер, изменил правила брандмауэра и немедленно исправил сервер. Похоже, вам нужен только порт 80, открытый для мира, поэтому просто откройте его и запретите диапазоны IP-адресов любых стран / регионов, для которых вы видели массу неудачных запросов, включая этот диапазон для Украины: 94.0.0.0/8 и этот IP: 82.238.39.154. Они все еще могут обойти это, но это создает для них немного больше хлопот.

Кроме того, эти 2 машины (как минимум) необходимо проверить, чтобы убедиться, что они чистые: REANIMAT-328817 и КОМПЬЮТЕР.

Прочитав больше, вы не увидите, что у вас есть достойный брандмауэр или он правильно настроен. Я бы сделал вышеупомянутое и установил надлежащий брандмауэр ДО того, как снова включить сервер. Кроме того, вы действительно не можете больше доверять этим машинам, поскольку у них, вероятно, теперь есть лазейки; время переустановить образ или переустановить ОС и т. д.